SAML 주제 및 맵핑 속성 구성

온라인 편집

VerifySAML 어설션서비스 제공자에 전송할 때 Verify 는 사용자가 인증되었음을 확인합니다. 인증된 사용자는 <saml:Subject> 요소에서 식별됩니다. SAML 어설 션은 애플리케이션 > 애플리케이션 > 편집 > 로그인 페이지의 속성 매핑 섹션에서 지정한 정보에 따라 요소를 <saml:AttributeStatement> 포함할 수도 있습니다. <saml:AttributeStatement>는 특정 속성이 인증된 사용자와 연관되는지 확인합니다. 서비스 제공자 요구사항을 기반으로 이 요소를 구성하십시오.

시작하기 전에

이 태스크에 대한 정보

Verify 는 여러 대상 애플리케이션에 대한 ID 제공자 로 사용할 수 있습니다. 이 애플리케이션 또는 서비스 제공자는 자체 사용자 및 그룹 속성 세트를 가지고 있습니다. 속성은 엔티티를 설명하는 엔티티의 특성입니다. 이는 name:value 쌍입니다.

SAML 권한 정보 에 포함된 속성은 서비스 제공자 의 특정 속성에 해당하여 다음을 수행합니다.
  • Verify 에서 서비스 제공자로 사용자 정보를 전달합니다.
  • 서비스 제공자에서 사용자에 대한 계정을 작성합니다.
  • 서비스 제공자에서 특정 서비스에 권한을 부여합니다.

프로시저

  1. 서비스 제공자Verify와 다른 사용자 ID를 사용하거나 필요로 하는 경우, SAML 어설션 주제를 구성하십시오. SAML 주제는 인증된 사용자를 식별합니다.
    표 1. SAML 주체
    정보 설명
    이름 ID 형식
    주: 이 옵션은 사용자 정의 애플리케이션 템플리트에서만 사용 가능합니다.

    통신되는 사용자 ID에서 ID 제공자서비스 제공자 사이의 예상을 조정합니다. ID 제공자NameID 속성을 통해 인증된 사용자의 ID 또는 사용자 이름을 지정합니다.

    다음 형식이 지원됩니다.
    urn:oasis:names:tc:SAML:2.0:nameid-format:persistent
    이름 ID가 Not Specified(으)로 선택되면, 주제 NameID은(는) 해당 애플리케이션 연합에 대해 동일한 값을 보유하는 무작위로 생성된 고유 ID입니다.

    urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

    ID 제공자Subject NameID 값은 이메일 주소 형식을 사용합니다.

    이 형식이 기본 형식입니다.

    urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

    ID 제공자Subject NameID 값은 임의의 형식이 될 수 있습니다.

    ID 제공자가 형식을 정의하고 서비스 제공자는 이 형식을 채택하여 사용자에게 필요한 서비스를 제공합니다.

    urn:oasis:names:tc:SAML:2.0:nameid-format:transient
    NameID 주제는 임시로 사용하기 위해 무작위로 생성되는 속성입니다. 서비스 제공자는 이 값을 임시로 허용합니다.

    이름 ID가 Not Specified(으)로 선택되는 경우, 주제 NameID은(는) 각 연합 SSO 플로우에서 고유한 무작위로 생성된 고유 ID입니다.

    참고: 이 형식에 사용된 속성을 IBM Verify에서 알 수 없는 경우 사용자 정의 속성을 사용하고 속성 규칙을 정의하여 무작위 UUID를 생성하십시오. 그렇지 않으면 임시로 처리될 수 있는 현재 시간소인(밀리초)을 보내십시오. 속성 관리의 3단계 속성 작성 을 참조하십시오.
    이름 ID

    일반적으로 인증되는 사용자인 SAML 어설션의 주제를 식별합니다.

    이는 SAML 어설션<saml:Subject><saml:NameID> 요소에 해당합니다.

    기본값은 preferred_username입니다. 대부분의 서비스 제공자는 사용자 이름을 이름 ID로 사용합니다.

    일부 경우에는 서비스 제공자에게 ID 제공자와 다른 이름 ID가 필요할 수 있습니다. 따라서 ID 제공자 신임 정보 속성 또는 서비스 제공자의 요구사항에 해당하는 고정 값 속성을 선택하여 <saml:Subject><saml:NameID> 요소를 설정하십시오.

    이러한 ID 제공자 신임 정보고정 값 속성은 디렉토리 > 속성에 정의되어 있습니다.
  2. 서비스 제공자 에서 VerifySAML 어설션의 특정 속성을 전송해야 하는 경우 속성 맵핑을 정의하십시오. 서비스 제공자 의 알려진 사용자 속성 또는 기타 속성을 Verify 속성과 맵핑하십시오.
    애플리케이션에 따라 속성 맵핑 섹션은 표 2에 설명된 다음 요소로 구성될 수 있습니다.
    • 알려진 모든 사용자 속성을 전송하기 위한 선택란 옵션
    • 사전 정의된 속성 이름 및 형식과 Verify에서 해당 속성 소스를 선택하는 옵션입니다.
    • ID 제공자에서 기타 속성 이름, 속성의 형식 및 해당 속성 소스를 추가하는 옵션
    표 2. 속성 매핑
    정보 설명
    SAML 권한 정보의 알려진 모든 사용자 속성 전송

    이를 선택하면 ID 제공자 ID 제공자에서 사용 가능한 알려진 모든 사용자 신임 정보 속성이 SAML 어설션에 자동으로 포함됩니다.

    알려진 사용자 인증 정보 속성은 다음으로 구성됩니다.
    표준 속성
    이러한 속성은 디렉토리 > 속성에 표시되는 기본 제공 속성을 포함하는 Verify Cloud Directory에서 가져옵니다.
    확장된 속성
    이러한 속성은 인증 > ID 제공자에서 구성한 SAML 엔터프라이즈 ID 제공자의 속성입니다.

    그렇지 않으면 SAML 어설션에서 서비스 제공자 에 필요한 특정 속성만 정의하십시오.

    참고: 이 옵션은 구성된 서비스를 방해하지 않도록 이미 구성되어 사용 중인 애플리케이션에 대해 기본적으로 선택되어 있습니다.
    속성 이름

    서비스 제공자가 사용하고 ID 제공자에서 요구하는 속성의 이름입니다.

    이는 SAML 어설션<saml:Attribute Name=""> 요소에 해당합니다.

    일부 서비스 제공자속성 맵핑 섹션에 나열된 필수 또는 선택적 속성을 가집니다. ID 제공자에서 해당 속성을 선택하십시오.

    일부 서비스 제공자는 사전 정의된 템플리트에 포함되지 않은 추가적인 속성을 ID 제공자로부터 요구할 수 있습니다. 추가 속성은 ID 제공자서비스 제공자 간의 비즈니스 계약에 따라 달라집니다. 이 경우 서비스 제공자 문서에서 추가적인 속성을 가져와서 ID 제공자 속성에 맵핑하십시오.

    참고: 속성이 이름 AuthnContextClassRef 및 형식 urn:oasis:names:tc:SAML:2.0:assertion로 구성된 경우, 속성 값은 SSO 플로우 중에 SAML 토큰의 AuthnContextClassRef 요소에 설정됩니다.
    속성 이름 형식

    속성 이름을 해석하는 방법을 표시합니다.

    이는 SAML 어설션<saml:Attribute NameFormat=""> 요소에 해당합니다.

    자체 값을 정의하거나 다음 옵션 중에서 선택할 수 있습니다.
    urn:oasis:names:tc:SAML:2.0:attrname-format:basic
    속성 이름은 단순 문자열 값을 사용합니다. 형식이 지정되지 않은 경우 이 형식이 기본 형식입니다.
    urn:oasis:names:tc:SAML:2.0:attrname-format:uri
    속성 이름은 urn:oid 이름 공간을 사용합니다.
    urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified

    모든 유형의 속성 이름이 사용 가능합니다. ID 제공자가 형식을 정의하고 서비스 제공자는 이 형식을 채택하여 사용자에게 필요한 서비스를 제공합니다.
    속성

    디렉토리 > 속성에서 각 유형에 대해 정의한 모든 속성을 나열합니다.

    선택한 속성의 값은 SAML 어설션에서 정의된 서비스 제공자 속성 이름의 속성 값으로 지정됩니다.

    예:
    <saml:AttributeStatement>
   <saml:Attribute 
      Name="mail" 
      NameFormat="urn:oasis:names:tc:SAML:2.0:
         attrname-format:basic"  
      <saml:AttributeValue xsi:type="xs:string">
abc@example.com
      </saml:AttributeValue>
   </saml:Attribute> 
</saml:AttributeStatement>
    참고:
    • 속성 소스 값에 대해 태그가 지정되지 않은 속성이 표시된다면 속성의 용도가 변경되었기 때문입니다. 해당 속성을 사용하는 기존 애플리케이션은 사용자가 해당 용도로 다른 속성을 사용하도록 애플리케이션을 다시 맵핑할 때까지 속성을 계속 사용할 수 있습니다. 예를 들어 기존 속성에서 싱글 사인온(SSO) 선택란이 선택 취소되어 있는 경우, 해당 속성을 SSO에 이미 사용하고 있는 애플리케이션은 SSO에 해당 속성을 계속 사용할 수 있습니다. 프로비저닝 용도가 제거된 경우에도 동일한 동작이 프로비저닝 속성 맵핑에 적용됩니다.